某科技内部培训资料Linux操作系统安全配置.pptVIP

* upgradepkg * 不必要的包 如telnet包，打开业务应用无需使用的服务如echo ,finger等。 What（技术层面） 访问控制 chmod SetuidSetgid umask chattr 第三十页，共四十六页。 What（技术层面） 访问控制 Chmod 禁止其他人对root可能运行的脚本有写权限。 SetuidSetgid 去除所有不必要的S位程序。 Umask 最小化权限回收 Chattr Chattr设置隐蔽的访问控制规则 第三十一页，共四十六页。 What（技术层面） 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 第三十二页，共四十六页。 What（技术层面） 防DOS配置 专业网络设备 网络上ACL 主机TCP/IP栈调整 第三十三页，共四十六页。 What（技术层面） 开启LINUX自带syn-flood抵御机制进行防护。 echo 1 /proc/sys/net/ipv4/tcp_syncookies 使用tcp_bic算法 echo 1 /proc/sys/net/ipv4/tcp_bic 设置开始建立一个tcp会话时，重试发送syn＋ack连接请求包的次数 echo 3 /proc/sys/net/ipv4/tcp_synack_retries 增大默认队列连接数 sysctl –w net.ipv4.tcp_max_syn_backlog=1280 状态机参数 echo 365536 /proc/sys/net/ipv4/ip_conntrack_max sysctl -w filter.ip_conntrack_tcp_timeout_syn_recv=13 sysctl -w filter.ip_conntrack_tcp_timeout_fin_wait=60 sysctl -w filter.ip_conntrack_tcp_timeout_time_wait=60 第三十四页，共四十六页。 What（技术层面） 开启SYN-COOKIE sydctl –w net.ipv4.tcp_syn_cookies=1 设置开始建立一个tcp会话时，重试发送syn连接请求包的次数 echo 3 /proc/sys/net/ipv4/tcp_syn_retries 放置IP路由欺骗转发 echo 1 /proc/sys/net/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/conf/default/rp_filter 等待对方FIN包的超时时间 echo 30 /proc/sys/net/ipv4/tcp_fin_timeout 内存中保持IP片断的时间 echo 15 /proc/sys/net/ipv4/ipfrag_time 遭遇DOS时不允许ping被DOS主机 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 能够更快地回收TIME-WAIT套接字。Slackware默认是0。建议为1——开启 echo 1 /proc/sys/net/ipv4/tcp_tw_recycle 第三十五页，共四十六页。 What（技术层面） 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 第三十六页，共四十六页。 What（技术层面） 完整性检验 Tripware Aide 自己的简单checksum 日志维护和保护 第三十七页，共四十六页。 What（技术层面） 安全补丁更新 敏感信息保护 最小化安全原则 访问控制 防DOS配置 完整性检验 日志维护和保护 第三十八页，共四十六页。 What（技术层面） 日志维护和保护 Linux系统的日志文件 /var/log/wtmp /var/log/debug* /var/log/dmesg* /var/log/messages* /var/log/secure* /var/log/syslog* 对日志文件的保护 Chattr +ai 日志文件（wtmp不可） Syslog 日志文件传送 第三十九页，共四十六页。 What（技术层面） 日常安全维护 日常检查项目 工具 异常登陆 last 完整性检验 aide 异常进程、端口、帐户 netstat 、lsof、 /etc/shadow 日志审计 wtmp /var/log/* 流量审计 、tcpdump 第四十页，共四十六页。 What（管理层面） 腾讯安全扫描的高危端口及服务定义 slackware 服务器安全检查